- 2023/08/24
- 脅威分析レポート
【脅威分析レポート】CVE-2023-36884 – Windows Searchのゼロデイ脆弱性
Post by : Cybereason Global SOC Team
サイバーリーズンでは、新たな脅威に関する情報をお客様に提供するために、脅威アラートを発行しています。今回の脅威アラートは、Microsoft OfficeおよびWindows HTMLにおける重大な脆弱性(CVE-2023-36884)に関するものです。本アラートでは、新たな脅威に関する情報をまとめた上で、それらの脅威から身を守るための実践的な推奨事項を提供します。
現在の状況
サイバーリーズンのGSOC MDR(Managed Detection and Response)チームでは、現在、Microsoft OfficeおよびWindows HTMLにおける重大な脆弱性である「CVE-2023-36884」に関連するインシデントを調査しています。Microsoftによる2023年7月のパッチアップデートリリースでは、この脆弱性にはまだパッチが適用されていません。
※2023年8月のパッチアップデートリリースで、この脆弱性にパッチが適用されました。
現在文書化されているこの脆弱性のユースケースは、RomCom(Storm-0978、DEV-0978)として知られる脅威アクターと関連付けられています。RomComグループは、RomComバックドアの開発と導入、およびUndergroundランサムウェアの導入に関与しています。同グループの活動は、ヨーロッパと北米の防衛機関および政府機関を標的としたキャンペーンの一部であり、ウクライナ世界会議に関連する悪意ある文書を被害者を誘い出すための「ルアー(疑似餌)」として使用しています。
影響
脆弱性CVE-2023-36884を悪用することで、攻撃者は、Microsoft WordなどのMicrosoft OfficeプロセスからWindowsのHTMLリモートコードを実行できるようになります。CVE-2023-36884の悪用に関する報告は、RTFファイルの悪用に言及しており、これはiframe経由でHTMLリモートコードを実行することで、RomComバックドアのダウンロードを可能にします。
推奨事項
Microsoftは、CVE-2023-36884を悪用したリモートコードの実行を阻止するためのマイクロソフトセキュリティレスポンスセンター(MSRC: Microsoft Security Response Center)アップデートガイドを発行しました。同アップデートガイドに記載されている脆弱性の軽減手順をできるだけ早急に実施することが推奨されています。
また、サイバーリーズンでも、カスタムレピュテーションブロックリストに指定のIPアドレスとドメインIOCを追加することを推奨しています。
ポストエクスプロイテーションに関連する侵害の痕跡(IoC)
GTSCは、既知のポストエクスプロイテーション活動に関連するIoCのリストを提供しています。
| 種別 | 値 | 備考 |
|---|---|---|
| SHA1 | 3de83c6298a7dc6312c352d4984be8e1cb698476 | エクスプロイト文書その1 |
| SHA1 | 2400b169ee2c38ac146c67408debc9b4fa4fca5f | エクスプロイト文書その2 |
| SHA1 | 2400b169ee2c38ac146c67408debc9b4fa4fca5f | エクスプロイト文書その2 |
| SHA1 | 2400b169ee2c38ac146c67408debc9b4fa4fca5f | エクスプロイト文書その2 |
| IP | 74.50.94[.]156 | 悪意ある文書に含まれている C2 IPアドレス |
| IP | 104.234.239[.]26 | 悪意ある文書に含まれている C2 IPアドレス |
| IP | 138.124.183[.]8 | RomCom C2 |
| IP | 45.9.148[.]118 | RomCom C2 |
| IP | 45.9.148[.]123 | RomCom C2 |
| IP | 65.21.27[.]250 | RomComに関連 |
| ドメイン | bentaxworld[.]com | RomCom C2 |
| ドメイン | penofach[.]com | RomCom C2 |
| ドメイン | altimata[.]org | RomCom C2 |
| ドメイン | finformservice[.]com | RomCom C2 |
| ドメイン | ukrainianworldcongress[.]info | タイポスクワッティングを目的とした偽サイト |
これらのIoCは、脅威ハンティングのために使用できます。
サイバーリーズンによる推奨事項
Cybereason Defense プラットフォームを使うと、このキャンペーンに関連する活動を検知できます。
サイバーリーズンは、次の措置を実施することを推奨しています。
- できるだけ早急に、脆弱性CVE-2023-368884に対してパッチを適用すること。
- パッチが適用可能となるまで、Microsoftが開示している次のような脆弱性軽減策に従うこと。
- 下記に示す各アプリケーションにおいて、 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONレジストリキーを設定することで、データ1を持つREG_DWORDタイプのレジストリキー値を使用するようなエクスプロイトを阻止すること。
◾️Excel.exe
◾️Graph.exe
◾️MSAccess.exe
◾️MSPub.exe
◾️Powerpnt.exe
◾️Visio.exe
◾️WinProj.exe
◾️WinWord.exe
◾️Wordpad.exe - プロアクティブなハンティングを実施する。続いて、この検索結果に基づいて、感染した端末の隔離やペイロードファイルの削除など、さらなる改善アクションを実行する。
レジストリキーのパス: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
サイバーリーズンが検知したサイバー攻撃の最新情報 〜2023年1月から4月に多く検知されたMalOpは?〜
サイバーリーズンのグローバルSOC(GSOC)は、主に米国、APAC、EMEAの3拠点にSOCを構え、グローバル規模で世界中の脅威を検知・分析することを目的とした組織であり、24時間×365日体制で世界中のサイバーリーズン製品から上がってくるMalOp※(Malicious Operations)の検知・分析に当たっています。
本資料では、2023年1月から4月にかけて世界中で検知されたMalOpの内容を紹介するとともに、サイバーリーズン合同会社 CISO(Chief Information Security Officer) 本城 信輔による、2023年1月から4月におけるサイバー攻撃の傾向分析と考察をご紹介します。
ご自身が所属する組織におけるサイバーセキュリティ対策の検討にお役立てください。
https://www.cybereason.co.jp/product-documents/survey-report/10894/
